SEGURANÇA

E
AUDITORIA DE SISTEMAS

JEANE MENEGUELI
VIDEO 1

• Criptografia, Assinatura e Certificados Digitais

• Vírus, Trojans e Worms
• Alguns tipos de ataques
• Engenharia Social
• SQL Injection
• Força Bruta (Brute Force)
• Cracking de software
SEGURANÇA DE UM SISTEMA DE INFORMAÇÃO

• INFORMAÇÃO como elemento importante para a geração de conhecimento

• Tomada de decisões e
• valor que agregará ao negócio

DADOS → INFORMAÇÃO → CONHECIMENTO → TOMADA DE DECISÃO

DADOS ESTATÍSTISCO

• Os dados da 10ª Pesquisa Nacional de Segurança da Informação,

realizada em 2006, pela empresa Módulo – Technology for Risk
Management, revelam as principais ameaças geradoras de perdas
financeiras. As informações oficiais servem como indicadores para
elaboração de uma política de segurança, conforme demonstrado
na Figura.
INTRODUÇÃO

• Com o intuito de evitar ou diminuir os impactos causados por ataques aos

sistemas de informação, é realizado o estudo dos riscos, denominado "análise
de risco", e seus resultados serão utilizados para a elaboração de uma
política de segurança aplicável à organização
• As políticas de segurança ajudam a garantir um cenário menos propício aos
ataques, utilizando-se de mecanismos de controle de acesso lógico às
informações ou à instituição.
INTRODUÇÃO

• Os mecanismos mais comuns são

• Criptografia de dados,
• Assinaturas digitais
• Certificados digitais e
• implementação de um serviço de firewall.
INTRODUÇÃO

• Uma vez definidas as regras da política de segurança, esta deverá obter o

pleno apoio da direção da empresa para garantir sua credibilidade e
cumprimento pelos demais usuários dos sistemas.
• Também deverá ser divulgada amplamente aos colaboradores, para que
todos saibam dos seus direitos, deveres e punições aplicáveis caso a política
seja desrespeitada.
INTRODUÇÃO

• Como em todas as outras áreas, os processos envolvidos em um sistema de

informação devem ser constantemente revisados e atualizados, ou seja,
melhorias frequentemente devem ser implementadas, buscando resultados
satisfatórios e eficientes.
• Para tal, os processos da Tecnologia da Informação (TI) deverão ser
auditados, isto é, controlados por meio do uso de metodologias apropriadas,
tendo como resultado relatórios de apontamentos de conformidades
INTRODUÇÃO

• O objetivo da auditoria é descobrir as irregularidades presentes em

departamentos e centros de processamento das organizações, bem como
identificar os pontos que irão desagradar à direção, tendo como finalidade
sua correção.
• Vide pg 9-10 do CRC
CENÁRIO

• Primeiramente, precisamos entender os fatores que contribuem ao cenário de

dependência em que as organizações hoje se encontram em relação às
informações. Isso se dá porque as informações são consideradas o seu bem
mais valioso.
• Como a forma de registrar as informações se tornou digital, ou seja, são
armazenadas em ambientes informatizados, também surge a necessidade de
implementar uma política que mantenha a informação íntegra, disponível e
acessível, para que ela seja acessada somente por quem é de direito.
ACESSO LÓGICO

• O controle de acesso lógico tem por base a utilização de senhas. O termo

acesso lógico pode ser entendido como o acesso ao ambiente (sistemas
computacionais) ou acesso ao conteúdo informacional frequentemente
associado à área da informática.
NÍVEIS DE ACESSO

• Os níveis de acesso às informações variam de organização para

organização, e, em alguns casos, na ausência de uma política de segurança, o
cuidado com os acessos nem é levado em consideração, caracterizando,
assim, um ambiente passivo de ocorrências de incidentes de segurança.
Apresentaremos a seguir os três princípios básicos de um sistema de
segurança da informação.
PRINCÍPIOS BÁSICOS

• Confidencialidade dos dados:

• somente pessoas com as devidas permissões devem ter
acesso aos dados, ou seja, deve-se manter a
confidencialidade dos dados.
PRINCÍPIOS BÁSICOS

• Integridade dos dados:

• Diz respeito à proteção contra alteração dos dados,
isto é, deve-se manter a integridade dos dados.
PRINCÍPIOS BÁSICOS

• Disponibilidade de dados:
• Trata-se do ininterrupto acesso aos dados ou serviços.
PORTANTO...

• No processo de gerenciamento da segurança da

informação, deve-se trabalhar, inicialmente, na
identificação e análise dos riscos de incidentes de
segurança, coletando informações sobre o seu grau de
existência em determinado ambiente da organização, e,
por fim, elaborar um plano de segurança.
 AULA 2 - CONTEÚDO

• Introdução a segurança e auditoria de sistemas. e Aspectos de segurança.

• Unidade 1 – Tópicos de 1 a 5.
• Conceito de Segurança de computadores e arquitetura de segurança OSI.
• Criptografia e segurança de redes: princípios e práticas. Capítulo 1 - Tópicos
1.1 a 1.2.
INTRODUÇÃO

• No princípio, os sistemas trabalhavam isoladamente, e os

riscos de ataques estavam sujeitos a atividades internas
das corporações, facilitando, assim, sua identificação e
resolução.
• Nos dias atuais, as informações sofrem mais ataques, os
quais poderão partir de qualquer parte do mundo.
INTRODUÇÃO
• Basta analisarmos o conceito de "computação em nuvem" (cloud computing),
em que os recursos disponíveis, como processamento, memória e outros, são
compartilhados por meio da internet.
• Assim, a análise de risco e o desenvolvimento de uma política de segurança
são fatores fundamentais para obtenção de um sistema de informação
seguro.
• Afinal, o que é um sistema seguro?
ASPECTOS DE SEGURANÇA

• bem mais valioso de uma empresa talvez não seja seus produtos e serviços,
mas as informações que, de uma maneira ou outra, estejam relacionadas com
eles.
• maneira de registrar as informações sofre mudanças desde a Pré-história,
período no qual as informações ficavam restritas basicamente ao
armazenamento na memória humana. Posteriormente, elas foram gravadas
nas paredes das habitações, o que as tornava acessíveis, e, ao mesmo tempo,
não era possível sua mobilidade.
ASPECTOS DE SEGURANÇA

• Já no final da Idade Média, as informações tornaram-se portáveis, com o

surgimento da tecnologia de impressão. Hoje, criou-se uma dependência em
relação à tecnologia das informações e da comunicação, nascida da
necessidade de implementações de segurança da informação, para que ela
esteja disponível, íntegra e restrita, isto é, seja acessada somente a quem tem
direito.
ASPECTOS DE SEGURANÇA

• Atualmente, em consequência dos avanços tecnológicos,

principalmente na área da Informática, a segurança de acesso
lógico tornou-se necessária, ou seja, as ferramentas de controle
são implementadas nos ambientes computacionais e geralmente só
serão notadas pelos usuários quando tiverem o seu acesso negado
a algum recurso.
ASPECTOS DE SEGURANÇA
ACESSO LÓGICO

• O controle de acesso lógico mais comum é baseado no uso de senhas para

autenticação de usuários.
• Os acessos são controlados por listas de acesso que determinam para cada
usuário os recursos que poderão ser acessados e, também, seus níveis de
acesso dentro desses recursos.
ASPECTOS DE SEGURANÇA
ACESSO LÓGICO

• Devemos compreender o significado do termo "acesso lógico" como o acesso

ao ambiente de informações ou ao conteúdo informacional, mais
frequentemente associado à informática,
• mas que também pode ser aplicado a informações restritas de uma
organização que não estejam armazenadas dentro dos seus sistemas
computacionais.
 ASPECTOS DE SEGURANÇA

• Os ativos de informações de uma organização apresentam um relacionamento com

alguns agentes, como, por exemplo, o agente proprietário, custo diante, usuário e o
agente controlador – esse último, age no controle dos acessos ao ativo propriamente
dito.
• A propriedade sobre os ativos de informações das organizações foi transferida da
área de informática para o usuário final. A área de Tecnologia da Informação é
custo diante dos ativos de informações dos usuários, bem como guarda e processa
tais ativos em nome dos seus legítimos proprietários.
ASPECTOS DE SEGURANÇA

• O profissional em segurança de sistemas deve ser capaz de

identificar em que local a segurança se faz indispensável, como
também ponderar sobre os investimentos necessários.
• Cada organização define seus níveis de acesso, que variam desde
a simples permissão para arquivos até a elaboração de uma
complexa definição de segurança, de modo que permita acesso a
dados ou serviços específicos e restrinja em áreas consideradas
confidenciais.
ASPECTOS DE SEGURANÇA

• São diversos os aspectos que definem a importância da segurança

em sistemas computacionais, porém todos buscam garantir a
segurança da informação da organização.
• Os incidentes de segurança da informação, isto é, quando uma
informação deixa de ser confidencial, íntegra ou disponível
quando necessária, podem causar prejuízos à organização, como
desgaste da sua imagem e perdas financeiras.
ASPECTOS DE SEGURANÇA
• É preciso que os recursos, muitas vezes limitados, sejam bem administrados,
uma vez que as inúmeras possibilidades tornam confuso o cenário de decisão.
Surgem alguns questionamentos, tais como:
• Adquirir uma nova ferramenta de antivírus?
• Investir em treinamentos de segurança?
• Independentemente da decisão tomada, é importante manter o foco no
objetivo, que é a busca por mecanismos eficazes que diminuam as
vulnerabilidades das informações e que continuem funcionais com o
decorrer do tempo.
PRINCIPAIS ASPECTOS DE UM SISTEMA DE SEGURANÇA DA INFORMAÇÃO
CONFIDENCIALIDADE DOS DADOS

• A confidencialidade dos dados refere-se à proteção contra o acesso não

autorizado a eles. Seus objetivos são atingidos quando a informação é
somente acessada por pessoas autorizadas.

• A partir do momento em que uma pessoa não autorizada tem acesso a

determinada informação, está caracterizado um incidente de segurança da
informação por quebra de confidencialidade. Esse acesso indevido pode ser
intencional ou não.
CONFIDENCIALIDADE DOS DADOS

• A quebra de confidencialidade não ocorre somente em ambientes

corporativos, pois os dados armazenados em computadores
pessoais também são passíveis de tentativas de acesso por
pessoas não autorizadas. É nesse cenário que pessoas mal-
intencionadas utilizam técnicas a fim de obter tais informações,
como, por exemplo, a engenharia social.
CONFIDENCIALIDADE DOS DADOS
• Conforme definição do Centro de Estudos, Respostas e Tratamento de Incidentes
de Segurança no Brasil – CERT.br (2011):
Nos ataques de engenharia social, normalmente, o atacante se faz passar por outra pessoa e
utiliza meios, como uma ligação telefônica ou e-mail, para persuadir o usuário a fornecer
informações ou realizar determinadas ações. Exemplos destas ações são: executar um
programa, acessar uma página falsa de comércio eletrônico ou Internet Banking através de
um link em um e-mail ou em uma página etc.

• A fim de evitar tais incidentes, estudaremos, nas unidades seguintes, alguns

mecanismos, como sistemas de detecção de intruso, controle de acesso lógico
e assinatura digital, entre outros.
INTEGRIDADE DOS DADOS

• A integridade dos dados está relacionada à proteção contra a

alteração dos dados. A integridade é atingida quando a
informação é mantida íntegra.

• Quando uma pessoa não autorizada altera ou corrompe a

informação, caracteriza-se um incidente de segurança da
informação por quebra de integridade.
INTEGRIDADE DOS DADOS

• Por exemplo, os dados armazenados em um banco de dados

devem ter sua integridade garantida para que sejam
transformados em informação, ou seja, sem essa garantia,
certamente não conseguiremos transformar esses bytes em
informação útil.
 DISPONIBILIDADE DOS DADOS

• disponibilidade de dados trata-se de um aspecto de proteção

contra a interrupção do acesso a dados ou serviços. Seus
objetivos são alcançados quando a informação estiver acessível
sempre que pessoas autorizadas necessitarem.
• A indisponibilidade a dados ou serviços caracteriza um incidente
de segurança da informação por quebra de disponibilidade.
 DISPONIBILIDADE DOS DADOS

• Imagine que o serviço de e-mail por algum motivo deixe de

funcionar.
• Mesmo que não seja fruto de uma invasão intencional, esse
incidente provavelmente causará aos usuários, no mínimo, a
sensação de descontentamento pela indisponibilidade do serviço
e, em muitos casos, o cancelamento do serviço por falta de
segurança.
 DISPONIBILIDADE DOS DADOS

• Em contrapartida, podemos avaliar os prejuízos causados quando

um incidente dessa natureza ocorre com o serviço considerado
fundamental para a organização, como é o caso do comércio
eletrônico (e-commerce).
• Caso um portal de vendas pela internet fique indisponível, além
dos prejuízos financeiros originados pela não comercialização
durante esse período, a imagem da organização será afetada
perante seus clientes, podendo vir a inibir futuras transações.
 DISPONIBILIDADE DOS DADOS

• Quando tratamos de segurança da informação, não podemos

deixar de lado as questões relacionadas ao direito de acesso dos
usuários.
• Nesse cenário, existem alguns requisitos que regulam o direito de
acesso aos recursos nas organizações, como, por exemplo, a
proteção de ativos, práticas de auditoria e legislações.
 UM POUCO MAIS SOBRE LEGISLAÇÃO

• É sabido que, em alguns países, existem leis cujo objetivo é regular as

responsabilidades dos administradores e usuários de recursos de
informações. Porém, em outros países, tais dispositivos legais ainda não
foram implantados e talvez nem discutidos.

• Apesar desse cenário heterogêneo, os administradores de organizações

multinacionais devem se atentar para a legislação específica do país sede
da empresa. Por exemplo, no caso das leis norte-americanas, são
responsabilizados os administradores de recursos que atuam em suas filiais
pela segurança das informações.
UM POUCO MAIS SOBRE LEGISLAÇÃO

• Algumas leis – principalmente as dos Estados Unidos – podem ser aplicadas a

empresas norte-americanas em outros países e a empresas estrangeiras com
filiais nos Estados Unidos, como também a empresas que disponham de títulos
comercializados em bolsas de valores americanas. Ainda nesse cenário,
podemos citar a Lei Sarbanes-Oxley, que engloba aspectos mais específicos
desse tipo de legislação. Observe, a seguir, o que trata essa lei.
 LEI SARBANES-OXLEY

• A Lei Sarbanes-Oxley foi promulgada em 2002 com o objetivo de melhorar a

precisão e a confiabilidade das informações divulgadas pelas organizações, em
obediência às leis de segurança da informação. Ela exige que as empresas
implementem uma organização interna de controle e procedimentos para
elaboração de relatórios financeiros coerentes, como também prevê as penalidades
a que estão sujeitos os membros da alta direção da empresa.
• A referida lei obriga a prática de um novo nível de governança e responsabilização
por parte das organizações, ou seja, elas terão de incluir suas estruturas de gestão
e monitoramento de registros e avaliação de vulnerabilidades em suas ferramentas
de controle interno de Tecnologia da Informação (TI).
 LEI SARBANES-OXLEY

• As regras são válidas – como citado anteriormente – para

empresas norte-americanas, como também para empresas
multinacionais que possuam ações (papéis) negociadas em bolsas
americanas, como, por exemplo, a Nasdaq.
• Enfim, todas devem obedecer à Lei Sarbanes-Oxley.
• De acordo com Caruso e Steffen (2006), isso implica métodos e
trilhas de auditoria e registros de possíveis alterações de registros
eletrônicos, conforme exigido no Artigo 404 dessa lei.
AS ADEQUAÇÕES ÀS EXIGÊNCIAS POR PARTE DAS
EMPRESAS DÃO-SE POR MEIO DO ESTABELECIMENTO DE
ALGUNS CONTROLES:

• Controle de acesso: monitora todas as tentativas de acesso a

sistemas de relatórios financeiros.
• Controle de configuração: monitora a configuração, políticas e
softwares instalados.
• Detecção de software malicioso: coleta e transmite informações
sobre atividades maliciosas.
 AS ADEQUAÇÕES ÀS EXIGÊNCIAS POR PARTE DAS
EMPRESAS DÃO-SE POR MEIO DO ESTABELECIMENTO DE
ALGUNS CONTROLES:

• Verificação da obediência à política: monitora a obediência da lei

por parte de todos os usuários.
• Monitoramento e gerenciamento de usuários: realiza uma auditoria
completa de atividades por parte de terceiros que possuam acesso a
dados sensíveis.
• Segurança de ambiente e de divulgação: monitora o ambiente,
garantindo a identificação e correção de riscos relativos à segurança.
COMPROMISSO PESSOAL DE ESTUDO

• 1. Ler Unidade 1 – Tópicos de 1 a 5.

• SCARPIM, A. S. Segurança e Auditoria de Sistemas. Batatais: Claretiano, 2013.
Caderno de Referência de Conteúdo – CRC, disponível na aba Material da Sala de
Aula Virtual.
• 2. Ler Capítulo 1 – Tópicos de 1.1 a 1.2.
• STALLINGS, William. Criptografia e segurança de redes: princípios e práticas. 6. ed.
São Paulo: Pearson Education do Brasil, 2015. Capítulo 1 - Tópicos de 1.1 a 1.2
"Conceito de Segurança de computadores e A arquitetura de segurança OSI". Livro
Eletrônico, disponível na Biblioteca Digital Pearson.
SITES PESQUISADOS

• Sites pesquisados
• CERT.BR. Cartilha de segurança para internet 3.1 (2006). Disponível em:
<http://cartilha. cert.br/fraudes/sec1.html>. Acesso em: 25 maio 2011.
• MÓDULO. 10ª Pesquisa Nacional de Segurança da Informação. Disponível em:
<http:// www.modulo.com.br/media/10a_pesquisa_nacional.pdf>. Acesso em: 2
maio 2011.
• MORAES, P. PSI: Política de Segurança da Informação. 2010. Disponível em:
<http:// segurancalinux.com/artigo/PSI-Politica-de-Seguranca-da-
Informacao?pagina=3>. Acesso em: 24 jun. 2011.